《网络工程实践课程设计报告.docx》由会员分享,可在线阅读,更多相关《网络工程实践课程设计报告.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络工程实践课程设计报告题 目: 校园网的网络安全管理和维护 学生姓名: 何 坤 学 号: 200410610428 专业班级: 计算机科学与技术04104班 同组姓名: 羊德娟 于静 赵容 指导教师: 潘 梅 森 设计时间: 2007年下学期第2周 指导老师意见: 评定成绩: 签名: 日期:摘要跟着21世纪这个网络时代的脚步,现在有很多学校都已建成了校园网,它促进了我们教育教学的改革,但同时也为计算机教师带来了沉重的负担。本次课程设计在管理、设置、软件维护几个方面阐述了对于校园网如何进行管理与维护。 整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调 试运行,总结,及参考
2、文献几个方块。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,了解它们在校园网中的使用情况,及基本的配置过程。常用的病毒防治软件要掌握其具有的功能,及如何才能在校园网中起到预想的结果,还有防火墙的基本配置信息。经过课程设计使我们能把平时课程中所学知识与实际应用相结合起来,并能在此过程中发现并解决问题。 关键词: 校园网管理 软件维护 病毒防治 防火墙1 课程设计的目的与意义建设校园网应达到的目的有一下几点:1、通过与INTERNET的互联,共享国内外院校以及商业机构的网络资源、并与他们建立包括E-MAIL(电子邮件)在内的国际通讯联系。
3、2、将全校的局域网互联,使全校师生共享校内网络信息资源(教学、科研、图书等信息),改善校内信息流通状况,促进校园内部网络应用的开发。 3、通过与INTERNET互联,展示大学校园校况及大学教育发展的状况,扩大该校在国内外的影响,突出该校在教育研究和建设中的重要地位。 4、使学生通过对校园网的使用,熟悉和掌握现代通讯工具,了解INTERNET的商业应用价值,为今后走向教学岗位,适应新的计算机应用环境打下基础。 5、利用校园网建立现代化的教学、科研环境,为今后的CAI(计算机辅助教学)、网络上的协作研究创造条件。 6、通过校园网为周边地区的企事业单位提供广泛的网络信息服务。 借助于校园网络,我们要
4、逐渐培养用户使用网络来搜寻、发掘、获取及运用信息的习惯,进而对网络应用产生兴趣,将其融入日常工作和生活中,为网络应用的普及奠定良好的基础。利用校园内各院系现有的局部计算机网络环境建立校园网络,可充分利用网络及计算机相关设备,提高设备的利用率。以校园网络取代传统的布告栏,让用户可以更方便迅速地获知各种重要的学习信息、工作信息和生活信息。通过各校校园网络的连接,可以更便利地互相交换信息,促进各个大学间的学术交流。通过校园网络使教师和科研人员能及时了解国内外科技发展动态,加强对外技术合作,促进教学和科研水平的提高。为开展网上远距离教学和校内多媒体交互式教学提供支持平台。以校园网络为依托,建立各种课程
5、的计算机辅助教学、计算机辅助考试和答疑批阅系统。建立以校园网络为基础的行政、教学及师生之间交互式管理系统。建立新的通讯方式和环境,提高工作效率。2 需求分析随着计算机、通信和多媒体技术的发展,科技的进步与经济的繁荣,计算机网络在当今的信息时代扮演着越来越重要的角色,网络上的应用也更加丰富。当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛,并迅速广泛应用于社会各领域,产生和激发出新的生产力,正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界
6、引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。随着我国经济的高速发展,国家提出本世纪末将我国建设成为经济高度发展、教育设备完备的现代化强国。近年来国家加快改革教育体系,以教育为立国之本,建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段,学校很有必要建设一个校园网络管理应用系统,这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。以顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率
7、,为培养二十一世纪人才提供一个优良的硬件教学环境。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。大学计算机网络的建立与应用已相当普遍,它对内综合了校园中的计算机资源,对外建立了广泛信息获取和交流渠道,为大学的教学和科研工作带来勃勃生机。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建
8、设的具体内容。建立校园网络已经成为各个大学的基础建设工作,它直接关系到学校的教学和科研工作的质量和水平。随着我国CERNET(中国教学科研示范网)主干网的建成和全国高校校园网建设的高潮,校园网已成为衡量一个高校优劣的重要标志之一。高可靠性的计算机网络为校园的计算机管理提供了稳定的平台,极大的提高了校园网络的极大优势。 现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软,硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音,图像,数据的传输,这种带宽结合设备厂商优秀网管模式,可以向用户提供面对面的通讯。综上所述,在建设校园网的时要达到以下的
9、目标:1、 在学院建成一个适合于信息采集、共享的内部网络,在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络。2、实现到Internet的接入,实现信息在Internet的发布。校园网网络建成以后,要实现以下这些功能:1、WWW服务,作为信息服务的平台。2、Email服务,作为信息传递和与外界交流的主要手段。在今后,本网络还要实现基于ATM的宽带多媒体的校园网,并通过ATM和省宽带多媒体网相连接,实现实时的远程教学。综上所述,本网络的网络建设必须采用当前最新的网络技术。接下来就是要根据学校的情况进行调查:调研情况如下:学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络
10、。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。需求功能如下:校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。3 系统的设计一、设计思想校园网计算机网络系统应便于将来网络系统的扩充,网络的硬件和软件应具有相对的独立性;充分考虑网络系统的开放性;充分考虑硬件的适应性,硬件应具有高度的可连接性和兼容性;网络系统应具有高
11、度的开放性,能与不同的计算机系统,通讯系统,自动控制系统连接,能连接不同协议的网络系统;实现多种操作系统平台,多种网络操作系统,多种网络协议互操作。二、网络设计原则1、网络的先进性和实用性的原则采用的硬软件系统既有技术的先进性,又有很高的性能价格比。 2、网络的开放性和兼容性的原则选择符合国际标准的网络硬软件产品,有很好的互换、扩展和升级能力。 3、网络的灵活性和可靠性的原则网络系统能够适应各种网络应用系统,易于今后向更先进的技术迁移,并且要有很好的容错能力。 4、网络的可管理性和易维护性原则配置网管软件,采用具有可管理的网络设备,以便合理规划网络资源和控制网络运行。整个网络应结构合理,层次划
12、分清楚且具有相对独立性,便于管理和维护。 5、网络系统的保密性和强有力的防病毒性。三、网络拓扑图 图一 校园网络拓扑图四、具体设计根据大学校园网的拓扑结构特点及面临的安全隐患,我们将通过瑞星防火墙、入侵检测、网络杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求,为大学校园构建统一、安全的网络。A:通过一台路由器隔开外网(Internet)与校园网,路由器中我们设置了防御外部的第一道屏障。 屏蔽路由器对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。它能根据IP地址、UDP和TCP端口来筛选数据。如可以在路由器中实现对内部网络在
13、8.00-18.00屏蔽腾讯的所有服务,也可以对特定的黄色、暴力、黑客、游戏网站进行屏蔽。B:通过防火墙(装有瑞星企业版的主机)隔离,在校园网络与外界连接处实施网络访问控制。 在Internet与校园网内网之间部署了一台瑞星企业版防火墙,可以让学院了解外部网络用户的身份和工作性质,提供访问规则,并针对存取要求授予不同的权限,保证只有经授权许可的信息才能在客户机和服务器间流通。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。这样,通过 Internet 进来的外网用户只能访问到对外
14、公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。具体配制规则如下: 第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,如审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。第三,在
15、防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。第四,在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。第五,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。第六,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。C:在中心交换机上架设入侵检测系统(瑞星入侵检测系统RIDS-100)。 入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统 RIDS-100 。将 RIDS-100 入侵检测引擎接入中心交换机上,对处于防火墙
16、之后的来自外部网和校园网内部的各种行为的网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。具体工作过程如下:IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视
17、、攻击识别和响应),提高了信息安全基础结构的完整性。D:漏洞扫描系统采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。E:部署网络版杀毒软件最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远
18、程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。具体实现过程可如下操作: 在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它
19、各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。4 系统实现一、校园网布局结构校园比较大,建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。主干网以中控室为中心,设几个主干交换节点,包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机
20、。校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆;楼内选用进口6芯室内光缆和5类线。在校园信息中心配置一台CISCO公司在千兆高端交换机市场处于领先地位的主干交换机Cisco catalyst 3508G XL。主要致力于高性能骨干网应用,满足快速增长的校园网全部需求的解决方案,这些需求包括:扩展性、高性能、灵活性、管理性和可靠性。广域网接入设备我们选取的是世界上最大的路由器生产商CSICO公司的CISCO 2600路由器。CISCO 2600路由器是CSICO公司针对于中小型互联网用户推出的高性能广域网接入设备,它提供了一个快速以太网端口、两个广域网接口,完全满
21、足学校现阶段的需求。 路由器通过一条100兆以太网链路连接到主交换机上,为学校提供高速的广域网连接通道。路由器的配置如:二、网络安全设置校园网系统的资料及文件通讯的安全问题将成为网络设计的重要因素,我们认为应能安全保护学校的资料和文件通讯,防止非法用户的访问和非法窃取,为了网络的安全,本设计方案充分考虑到了网络安全的重要性,并设计了多级安全保护策略。 Internet 防火墙能增强机构内部网络的安全性,它决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往net的信息都必须经过防火墙,接受防火墙的
22、检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。 鉴于此,我们建议使用瑞星企业版防火墙作为校园网的主防火墙软件。防火墙的具体配置步骤如下: 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。 2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。 3. 运行电脑Windows系统中的超级终端(HyperTerminal)程序(通常在“附件”程序组中)。对超级终端的配置与交换机或路由器的配置一样。 4. 当PIX防火墙进入系统后即显示“pixfirewall”的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模
23、式。可以进行进一步的配置了。 5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。 6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。 (1). 首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例) Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,“auto”选项为系统自适应网卡类型Interface ethernet1 auto (2). 配置防火墙内、外部网卡的IP地址 IP address inside ip_address netmask
24、# Inside代表内部网卡 IP address outside ip_address netmask # outside代表外部网卡 (3). 指定外部网卡的IP地址范围:global 1 ip_address-ip_address (4). 指定要进行转换的内部地址:nat 1 ip_address netmask (5). 配置某些控制选项:conduit global_ip port-port protocol foreign_ip netmask 其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TC
25、P、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。 7. 配置保存:wr mem 8. 退出当前模式 此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。 pixfirewall(config)# exit pixfirewall# exit pixfirewall 9. 查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。 10. 查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。 11. 查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。5 系统调试